TOR podruhé

Author: Ivan Tichý | Last change: 2014-03-20 00:03:48

Konečně jsem se dokopal k tomu to dodělat a zkusit. Výsledek? No mají to kluci pěkně vymyšlené.. :)

Zkusil jsem dokončit nastavení pro úplně anonymní pohyb na Internetu. Dalo by se v podstatě říci, že veškeré DNS dotazy (DNS dotaz je přeložení názvu/adresy na číselnou adresu, to se děje vždy, když napíšete nějakou adresu do prohlížeče) jsou přesměrované na TOR anebo blokované.

Komunikace (vybraná) je směrovaná na TOR. Ostatní může být blokovaná. To má za následek, že i když bych byl úplně blbý anebo používal blbé (sabotující) programy, pak bych se vlastně ani nemohl prozradit.

Je to jako něco, že když jsem ve sklepě a volám si o pomoc a nevím, kde ten sklep je a nevidím ven, tak se prostě neprozradím, i kdybych chtěl, protože nevím, kde jsem a není způsob (okno), jak se podívat ven.

No, výsledek. Jde to. I Skype. Jediné, co nejde a zlobí, je zase a zase Google a Gmail. Jejich bezpečnost je založena na tom, že musí přesně vědět, kdo jsem, jinak mě zablokují. Jsme zase u toho, zda je to spíš bezpečnost anebo sběr dat.

Asi jako, když by mi někdo zavolal a já se nejdřív ujistil dle tajného tetování na zadečku jeho manželky, že je to on, a teprve pak bych si s ním povídal. Je to nestandardní.

Pak je to taky pomalé.

Otázka a trochu challenge je použití transparentní proxy anebo torifikace celého provozu na síti – v podstatě pak na svém počítači nemusím nastavit nic a vše je anonymizované řekněme „automaticky“. No, do toho už se mi nechce – hodně času a úsilí (ne jen pro nastavení hlavně pro kontrolu, že je to opravdu zabezpečené) jen tak pro to si něco dokázat.

Nemá smysl zde popisovat, jak se co nastaví. Informací na internetu o tom je dost. A když už bych tu chtěl udělat rešerši o tom, jak co nastavit a proč, tak bych to psal dva dny a i tak bych si nebyl jistý, že jsem dané téma obsáhl dobře anebo alespoň dostatečně.

V principu je potřebné si nainstalovat tor. Já používám Raspberri PI. Instalace: http://raspberrypihelp.net/…i-tor-server

Pokročilejší nastavení: https://wiki.archlinux.org/index.php/tor

Dokumentace k pořádnému nastavení /etc/tor/torrc: https://www.torproject.org/…nual.html.en

DNS: Na Raspberry PI je v konfiguraci: DNSPort 5353. Toto spustí DNS službu, která běží přes TOR. Nu, nechal jsem tento port (standardní pro DNS je 53). Zkoušel jsem tam nastavení DNS cache apod (DNSMasq), to jsem pak nechal.

Pro přesměrování z portu 53 na port 5353 je na Raspbery Pi nastaveno:

iptables -t nat -I PREROUTING -p udp --dport 53 -j REDIRECT --to-port 5353

Na routeru, který slouží k přístupu na internet je nastaveno následující

Pro zablokování přístupu na externí DNS servery:

iptables -I FORWARD -o br1 -p udp --dport 53 -j DROP
iptables -I OUTPUT -o br1 -p udp --dport 53 -j DROP

S tím, že jako DNS server si nastavím Raspberry PI. Raspberry PI je DNS sama sobě. Dokud běží TOR, pak je sám sobě TOR DNS serverem.

Pro blokaci internetu ven je to prosté:

iptables -I FORWARD -o br1 -s ! raspberryipaddress -j DROP
iptables -I OUTPUT -o br1 -j DROP

br1 je interface ven do Internetu

A pak stačí používat SOCKS5 pro vše.

Další krok je transparentní proxy a transparentní DNS. A to už se mi nechtělo.

Comments

Insert new comment